Destination NAT

Mivel az elkészült webszerver egy privát IP címtartománnyal rendelkező belső hálózatban van, a jelenlegi beállítások mellett csak ebből a belső hálózatból érhető el. A gép azonban router tűzfalának megfelelő beállításával a külső hálózatokból is elérhetővé tehető. Ez a „típusbeállítás” gyakori feladat, érdemes megismerkednünk vele.

Példánkban tehát a belső hálózaton működő a 192.168.100.10-es IP címen elérhető webszervert szeretnénk a router külső interfésze irányából is elérhetővé tenni. Ehhez a router külső interfészére érkező és 80-as portra címzett kéréseket a belső hálózatba kell továbbítani. Ezt az eljárást port forward, vagy destination nat néven szokás nevezni. A beállítás során megadjuk, hogy melyik interfészen, esetleg mely forrásból mely portra érkező csomagokat melyik belső hálózati gép mely portjára továbbítjuk.

A feladat elvégzéséhez válaszd ki az IP/Firewall menüpontot, majd a NAT lapot. Itt fogjuk megadni a szabály leírását. Mivel a lapon nagyon sok beállítási lehetőség van, csak a szükségeseket sorolom fel. Először a bejövő csomagokra vonatkozó feltételek megadását végezzük el:

DST-Nat

Destination NAT: a forrás meghatározása

Enabled:

a szabály csak akkor érvényesül, ha ez a checkbox be van kapcsolva.

Chain:

Ez azt a „láncot” írja le, amelyben a szabályt el szeretnénk helyezni. Az srcnat jelentése Destination NAT, ami a belső hálózat kifelé irányuló forgalmának NAT-olását teszi lehetővé (most nem erre van szükségünk). A külső forgalom befelé irányítását akarjuk elérni, amit a dstnat kiválasztásával kell kezdeni.

Protocol:

Mivel a web kommunikáció forgalma TCP protokollon történik, ezt kell kiválasztani.

Dst. Port:

a web forgalom alapértelmezett portja a 80-as, ami erre a portra érkezik, azt a belső webszerverünkre irányítjuk majd. Ne feledd, a router web interfésze alapértelmezésben szintén a 80-as porton volt, amit korábban már áthelyeztünk a 65080-as portra. Ha ezt esetleg elmulasztottad, a 80-as portra jövő kéréseket maga a router fogadja, ennek átirányításával a web interfészt elérhetetlenné teheted.

In. Interface:

ez annak az interfésznek a neve, ahonnan a csomagok érkeznek. Példánkban ez a külső hálózat, amit az Ether1-es porthoz kapcsoltunk.

A feltételeknek megfelelő csomagok továbbítását az Action blokkban kell megadni:

DST-Nat

Destination NAT: a cél gép beállítása

Action:

ebben a listában kell kiválasztani, hogy mit szeretnél tenni a eddig meghatározott csomagokkal. A feladat megoldásához válasszuk ki a dst-nat értéket.

To Addresses:

ebben a mezőben kell megadni, hogy mely IP címekre kívánjuk továbbítani a kéréseket, ez a webszerver belső IP címe, a 192.168.100.10 lesz.

To Ports:

itt pedig azt adjuk meg, hogy a cél szerver melyik portjára akarjuk továbbítani a csomagokat. Mivel a szerverünk majd a 80-as porton „figyel”, ezért ezt az értéket gépeljük be. A 0-65535 alapérték azt jelenti, hogy a cél port azonos a bejövővel. Ennek használatát nem tartom jó ötletnek, inkább a célport pontos megadását tartom helyesnek.

Feladatok

  1. Az internet irányából, így a host számítógépről is lehessen ssh kapcsolatot létesíteni a webszerverre a 65062-es porton! Ehhez a külső hálózati címre, a 65062-es portra kapcsolódó SSH kéréseket „küldd be” a webszerver IP címére, a 22-es portra!